Contao-Camp 2024
Ergebnis 1 bis 5 von 5

Thema: testing-xss1 Meldung im Backend

  1. #1
    Wandelndes Contao-Lexikon Avatar von BugBuster
    Registriert seit
    15.06.2009.
    Ort
    Berlin
    Beiträge
    10.496
    User beschenken
    Wunschliste

    Fehler testing-xss1 Meldung im Backend

    Hi,
    ein "Vulnerability Scanner" namens "nuclei" (https://github.com/projectdiscovery/nuclei) hat es geschafft über einen XSS Angriff (https://github.com/projectdiscovery/...ss-params.yaml) ein Stück JS Code in meine tl_visitors_searchengines Tabelle im Feld visitor_keywords einzuschleusen. Der ist nicht kritisch, stört aber bei Aufruf der Statistik im Backend.
    Das äußert sich durch ein Popup mit der Meldung "testing-xss1".

    In so einem Fall kann man sich behelfen, in dem man mit einem DB Tool die Tabelle bereinigt:
    Code:
    DELETE FROM `tl_visitors_searchengines` WHERE `visitors_keywords` LIKE '%testing-xss1%';
    Ich werde das näher analysieren und für alle Visitors Versionen ein Bugfix implementieren. (der das höchst wahrscheinlich auch bereinigen wird)

    Danke an Ben und Hagen für die Infos.
    Grüße, BugBuster
    "view source" is your guide.
    Danke an alle Amazon Wunschlisten Erfüller

  2. #2
    Wandelndes Contao-Lexikon Avatar von BugBuster
    Registriert seit
    15.06.2009.
    Ort
    Berlin
    Beiträge
    10.496
    User beschenken
    Wunschliste

    Standard

    Frage an die Nutzer von Visitors:
    Macht es Sinn solch einen Suchmaschinen Suchbegiff anzuzeigen? (mit htmlspecialchars codiert)
    Code:
    '>"<svg/onload=confirm('testing-xss1')>
    Grüße, BugBuster
    "view source" is your guide.
    Danke an alle Amazon Wunschlisten Erfüller

  3. #3
    Wandelndes Contao-Lexikon Avatar von BugBuster
    Registriert seit
    15.06.2009.
    Ort
    Berlin
    Beiträge
    10.496
    User beschenken
    Wunschliste

    Standard Fix: testing-xss1 Meldung im Backend

    Für Contao 4.9 und höher ist nun die Visitors Bundle Version 1.6.7 veröffentlicht.
    Es behebt den Fehler und löscht die falschen Einträge in der Datenbank.

    Für Contao 4.4 und Contao 3.5 wird ein Update folgen.
    Grüße, BugBuster
    "view source" is your guide.
    Danke an alle Amazon Wunschlisten Erfüller

  4. #4
    Wandelndes Contao-Lexikon Avatar von BugBuster
    Registriert seit
    15.06.2009.
    Ort
    Berlin
    Beiträge
    10.496
    User beschenken
    Wunschliste

    Standard

    Für Contao 4.4 (und PHP 7) ist nun die Visitors Bundle Version 1.5.2.5 veröffentlicht.
    Es behebt den Fehler und löscht die falschen Einträge in der Datenbank.

    ACHTUNG: Ich habe leider derzeit keine lauffähig Contao 4.4 Version, daher konnte ich es nur rudimentär testen.
    Wer es lokal kann (Contao 4.4 und PHP 7.4) sollte daher die Installation vorher darüber testen.
    Grüße, BugBuster
    "view source" is your guide.
    Danke an alle Amazon Wunschlisten Erfüller

  5. #5
    Wandelndes Contao-Lexikon Avatar von BugBuster
    Registriert seit
    15.06.2009.
    Ort
    Berlin
    Beiträge
    10.496
    User beschenken
    Wunschliste

    Standard

    Für Contao 3.5 ist nun die Visitors Version 3.8.8 veröffentlicht. (nur über Composer oder manuell, in's ER2 kommt man ja nicht mehr ran)
    Es behebt den Fehler und löscht die falschen Einträge in der Datenbank. (runonce)

    Achtung: Vorsicht in Contao 3.5 mit Paketverwaltung, ich hoffe ihr habt das Composer Update abgeschaltet, sonst habt ihr plötzlich Composer 2 drauf und das geht schief.
    Habs grad wieder rückgängig machen müssen.
    Geändert von BugBuster (24.02.2021 um 00:19 Uhr)
    Grüße, BugBuster
    "view source" is your guide.
    Danke an alle Amazon Wunschlisten Erfüller

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •